Equifax: aggiornamenti sul disastro informatico, incompetenze incredibili



[ZEUS News - www.zeusnews.it - 21-09-2017]

equifucked

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Rubati a Equifax i dati di metà degli americani

La settimana scorsa ho segnalato l'attacco informatico sferrato contro Equifax, che ha consentito la sottrazione di dati estremamente sensibili riguardanti la valutazione creditizia di 143 milioni di utenti, circa metà della popolazione statunitense: un bersaglio ghiottissimo per truffe e furti d'identità di ogni genere.

Ora stanno emergendo i dettagli di questo attacco, e il comportamento di Equifax sta somigliando sempre più a una barzelletta amara.

Per esempio, l'attacco è stato reso possibile perché Equifax non aveva installato gli aggiornamenti di Apache Struts, secondo la Apache Software Foundation e le ammissioni della stessa Equifax.

Non ha certo complicato la vita agli intrusi il fatto che Equifax "proteggeva" uno dei suoi database in Argentina usando come login e password il classico admin:admin, come racconta CNBC.

E il ricercatore di sicurezza Kevin Beaumont ha trovato, pubblicamente accessibili sul sito di Equifax, i resoconti dell'audit di sicurezza effettuati qualche anno fa dalla KPMG.

equifax 0

Come li ha trovati? Facendo una semplice ricerca in Google.

equifax2

Poco dopo la segnalazione, i documenti sono stati rimossi (non prima che me ne scaricassi una copia).

Equifax ha anche messo a disposizione degli utenti un servizio d'emergenza che generava un PIN per "proteggere" la propria situazione, ma è emerso che il PIN era semplicemente un numero progressivo composto dalla data e dall'ora corrente, quindi facilissimo da scoprire per forza bruta.

Sondaggio
Hai mai acceduto a una rete Wi-Fi di qualcuno senza il suo permesso?
No, mai.
No, ma lo farei se ne avessi la possibilità.
Sì, ma era una rete Wi-Fi pubblica approntata appositamente.
Sì, ma era una rete Wi-Fi lasciata aperta e quindi ci potevo entrare anche senza le credenziali necessarie.
Sì, una rete Wi-Fi privata di cui ho hackerato la password (o di cui ho conosciuto la password).

Mostra i risultati (2196 voti)
Leggi i commenti (3)

Come se tutto questo non bastasse, Ars Technica segnala che gli intrusi sono riusciti a raccogliere dati sulle transazioni di circa 200.000 carte di credito, risalenti oltretutto fino a novembre 2016.

Questo fatto indica che o Equifax non stava cifrando i dati delle carte o c'era un componente del suo software che dava accesso ai dati in forma decifrata; inoltre la conservazioni di questi dati sarebbe stata una violazione degli standard basilari del settore.

Ma ormai è piuttosto chiaro che ancora una volta una grande azienda del settore dei servizi è stata colta ad usare consapevolmente metodi e processi di sicurezza assolutamente inadeguati.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (3)

{collax}
...e i cittadini pagano... Anche una multa, anche un risarcimento, non potranno cancellare ciò che è successo, le cui conseguenze si propagheranno nel futuro per decenni. Incredibile che qualcuno abbia un simile potere...
22-9-2017 21:34
{skiantos}
L'errore fondamentale sta a monte, ed è un errore logico: qualcuno, o l'impalcatura civilistica, ha autorizzato una singola azienda a detenere dati sensibili che tutti insieme possono delineare un individuo con ragionevole precisione. Si sa che il mondo è pieno di incompetenti e quant'altro, ed è per... Leggi tutto
20-9-2017 20:48
{utente anonimo}
eTrumpCheFa? facesse la voce grossa con loro invece di sparare ca.... militaristiche in stile dr.stranamore.
20-9-2017 14:06
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Foto e video occupano troppo spazio sul tuo hard disk ma non vuoi cancellarli. Cosa fai?
Copio tutto su una USB o su un hard disk esterno
Cripto la cartella con le foto e i video e poi la salvo su un hard disk esterno
Sposto i file in un servizio di immagazzinamento su cloud
Cripto i file e li sposto su cloud
Non ho poi così tante foto

Mostra i risultati (2138 voti)
Dicembre 2023
n. 3762 del 06-12-2023
Windows 10, Microsoft vara il supporto esteso oltre il 2025
n. 3761 del 01-12-2023
YouTube Playables è realtà
Novembre 2023
n. 3760 del 28-11-2023
Google Drive, scomparsi i file degli ultimi sei mesi
n. 3759 del 23-11-2023
Dopo videochat con una bella ragazza, ora mi ricatta con le mie immagini intime
n. 3758 del 19-11-2023
Windows, problemi con le licenze dopo la fine degli upgrade gratuiti
n. 3757 del 15-11-2023
Office 2024 esiste, e non richiede un abbonamento
n. 3756 del 13-11-2023
Google, meno di un mese alla "grande pulizia" degli account
n. 3755 del 07-11-2023
La voce di John Lennon è da considerare autentica o sintetica?
Ottobre 2023
n. 3754 del 31-10-2023
Windows 10, una petizione per allungare il supporto
n. 3753 del 27-10-2023
Addio password, benvenuta passkey?
n. 3752 del 24-10-2023
Nokia licenzierà 14.000 persone
n. 3751 del 20-10-2023
Amazon, dal 2024 consegne coi droni anche in Italia
n. 3750 del 18-10-2023
Microsoft Edge curiosa nei dati degli altri browser a ogni avvio
n. 3749 del 16-10-2023
Canonical ritira Ubuntu 23.10 per “discorsi d'odio”
n. 3748 del 12-10-2023
Windows 11, basta un comando per aggirare i controlli sull'hardware
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 8 dicembre
2021
Smart working: dall'emergenza alla normalità
2019
Come sanno i ladri che avete nascosto un telefonino in auto?
2018
Windows Lite: un Windows 10 leggero per far guerra a Chrome OS
2017
Tesla Model 3, è online copia ''trafugata'' del manuale ute...
2016
Aiuto, il mio Android è in bianco e nero!
2014
La moto volante di Star Wars è realtà
2012
Come scegli uno smartphone?
2011
In prova: Kaspersky Internet Security 2012
2010
Il robot che raccoglie le fragole mature
2009
Mille euro a chi segnala un sito porno
2008
Uebbi Telecom, per accedere a Internet senza Pc
2007
Gli Usa contro la pornografia infantile
2006
Il portachiavi intelligente
2005
Commercio iniquo
2004
Il Mangelo, la community di chi mangia bene
2003
Il motore per cercare il posto di lavoro
2001
Sei infetto? Ti aiuta Microsoft!
Olimpo Informatico


 
web metrics